Adversarios extranjeros han utilizado datos de geolocalización comercial, obtenidos a través de perfiles publicitarios de smartphones, para rastrear y vigilar a tropas estadounidenses en zonas de guerra. Legisladores critican que el Pentágono conocía este riesgo desde hace una década, pero no ha implementado medidas estrictas ni prohibido el uso de dispositivos personales. Actualmente, se exige un cambio urgente en las políticas de seguridad para proteger al personal militar.



Obtener la ubicación de las tropas en guerra podría ser tan fácil como comprar los datos a una empresa legítima. Los adversarios extranjeros de Estados Unidos han explotado datos de geolocalización comerciales vinculados a tropas estadounidenses, admite el Pentágono, utilizándolos para localizar o vigilar al personal de EE. UU. en Oriente Medio. A pesar de ello, los funcionarios electos afirman que el Departamento de Defensa no se ha movido con rapidez para asegurar la información.

El senador Ron Wyden (D-OR), el representante Pat Harrigan (R-NC) y una docena de otros miembros del Congreso enviaron una carta a la CIO del DoD, Kirsten Davies, el jueves, exigiendo un cambio en la postura de seguridad de los smartphones entre las ramas militares de EE. UU. Incluida en la carta se encuentra lo que los legisladores describen como la primera confirmación pública de que los datos de ubicación comerciales se han utilizado para atacar o vigilar a tropas estadounidenses en zonas de guerra activas. La información fue compartida con la oficina de Wyden en abril.

La razón del retraso en la publicación de la información, según el equipo de Wyden, se debió a "marcas que restringían la divulgación pública", contra lo cual Wyden presuntamente protestó, lo que llevó a la carta del jueves y a las respuestas adjuntas [PDF] del DoD confirmando que la información comprada a corredores de datos comerciales fue utilizada para localizar tropas.

“El USCENTCOM [Comando Central de EE. UU.] ha recibido múltiples informes de amenazas relativos a la explotación por parte de adversarios de datos de ubicación comerciales para localizar o vigilar al personal de EE. UU. en el teatro de operaciones”, indican las respuestas del DoD de abril.

En cuanto a cómo exactamente los corredores de datos obtuvieron el acceso a la información que permitió a los adversarios localizar a las tropas y sus movimientos, lo consiguieron de las mismas fuentes que cualquier otra persona que compre datos a un corredor comercial: perfiles publicitarios de smartphones.

Según las respuestas del DoD incluidas en la carta de Wyden, no solo se permite que el personal militar de EE. UU. utilice dispositivos personales dentro de las áreas operativas, sino que no existe una política real que obligue a los militares a desactivar las capacidades de geolocalización en sus dispositivos cuando se encuentran en zonas de guerra activas.

“La guía de riesgo de geolocalización del USCENTCOM instruye al personal a desactivar la funcionalidad de geolocalización cuando no sea necesaria; revisar periódicamente la configuración de privacidad de los dispositivos y aplicaciones; y limitar el intercambio público de información”, afirmó el DoD el mes pasado, admitiendo simultáneamente que dicha guía no siempre desactiva completamente la geolocalización en los smartphones.

Además de los dispositivos de propiedad personal, los smartphones emitidos por el propio DoD tampoco desactivan los perfiles publicitarios.

“La configuración de Publicidad Personalizada está desactivada mediante política de grupo en el Servidor de Gestión de Dispositivos Móviles”, dijo el DoD al equipo de Wyden. “Sin embargo, la Información de Segmentación Publicitaria no está desactivada y puede ser editada por el usuario”.

Esa no es la respuesta más directa y, cuando preguntamos al equipo de Wyden qué pensaba de ella, coincidió con nuestra evaluación de que el MDM del Pentágono desactiva la entrega de anuncios personales a los usuarios, pero no detiene la transmisión de los ID publicitarios del dispositivo u otros datos asociados.

El DoD señaló en la respuesta que está en proceso de migrar a una nueva solución de MDM que permite desactivar completamente los servicios de ubicación en los dispositivos gubernamentales y tenía como objetivo una fecha de finalización a principios de mayo, aunque no está claro si el proceso ya ha terminado. El Pentágono se negó a responder a nuestras preguntas, limitándose a decir que respondería a Wyden, no a nosotros.

Tampoco está claro cuán efectiva será esa migración de MDM, ya que el DoD parece estar eliminando gradualmente los dispositivos gubernamentales en favor de una política más amplia de BYOD (Trae tu propio dispositivo) en al menos una rama. Según un comunicado de prensa del Ejército de EE. UU. de principios de este mes, la rama tiene como objetivo finales de este mes la devolución de los smartphones de trabajo gestionados por el Ejército, ya que “el método primario y preferido para la conectividad es el programa Bring Your Own Device, o BYOD”.

Se informa que el CENTCOM ha reforzado sus controles de geolocalización en su área de operaciones; no se indica si el soldado, marinero, aviador y marine promedio está cumpliendo.

¿Desde hace cuánto tiempo lo saben?

La falta de prevención de la exposición de datos de ubicación sensibles de activos militares podría ser perdonable si fuera un problema nuevo, pero según la carta de Wyden, no es así: el Pentágono probablemente sabía del problema desde hace una década.

Según la carta, contratistas gubernamentales informaron al liderazgo militar sobre la facilidad de rastrear smartphones propiedad de miembros militares ya en 2016.

“Los funcionarios del DoD no han tratado esta amenaza a la contrainteligencia y a la protección de la fuerza como una emergencia máxima”, afirma la carta, añadiendo que el Pentágono “ha conocido esta amenaza durante más de una década y, sin embargo, no ha tomado medidas significativas para proteger a nuestros hombres y mujeres uniformados”.

Tampoco es que no haya habido ejemplos abundantes de una gestión descuidada de los datos de ubicación comprometiendo operaciones militares. Los datos extraídos de la aplicación de seguimiento de entrenamientos Strava se han utilizado para identificar las rutas de entrenamiento del personal militar de EE. UU. que trota en la base, revelar la ubicación del presidente francés Emmanuel Macron gracias a las descuidadas prácticas de seguridad de sus guardaespaldas y las redes sociales también han sido señaladas como un desastre de OPSEC esperando a suceder.

A pesar de todos esos ejemplos e informes que se remontan a una década, el problema ha persistido hasta las últimas operaciones en Irán.

“El hecho de que los adversarios extranjeros sigan siendo capaces de comprar datos de ubicación recopilados de los teléfonos del personal estadounidense que sirve en puntos críticos militares es un resultado directo del fallo del liderazgo del DoD al no priorizar esta amenaza y no implementar ciberdefensas basadas en el sentido común”, denuncia la carta. Queda por ver si se hará algo al respecto.

Fuente:
TheRegister